Automatisierte Sicherheit für Cloud-native Umgebungen

Mit der massiven Verschiebung von Anwendungen und Services in die Cloud müssen IT-Sicherheitsfachleute auch deren Absicherung in den Griff bekommen. Herkömmliche Sicherheitskonzepte und -tools wurden für Rechenzentren und lokale Endgeräte entwickelt und bieten keinen lückenlosen Schutz für Cloud-native Anwendungen und Services. Es gilt, zahlreiche Security-Funktionen für die erweiterte IT-Umgebungslandschaft zu implementieren, um die Workloads in der Cloud vor unerlaubten Zugriffen zu schützen und somit keine Angriffsflächen für die gesamte IT-Infrastruktur zu öffnen.

Für neu erstellte Cloud-basierte Anwendungen oder Services müssen Entwicklerteams, IT-Sicherheit und Cloud-Teams enger zusammenarbeiten und auf Best Practices der Umsetzung zurückgreifen, um Schwachstellen vorzubeugen. Letztlich müssen Cloud-Services den aktuellen Standards für IT-Sicherheit und Compliance entsprechen, ohne dass Unternehmen und Anwender Abstriche bei Performance und Verfügbarkeit hinnehmen müssen oder die Komplexität deren Verwaltung explodiert.

Dabei sind alle im Transformationsprozess beteiligten Abteilungen mit den heutigen dynamischen, kurzlebigen Umgebungen und kürzeren Release-Zyklen konfrontiert und müssen zeitgleich die Anforderungen Cloud-basierter Anwendungen und Technologien wie Software-as-a-Service (SaaS) und Infrastructure-as-a-Service (IaaS) mit Cyber-Sicherheit vereinen. Die Absicherung der Konfigurationen von Cloud-basierten Services und Produktivumgebung ist die Mindestvoraussetzung für sichere Cloud-Umgebungen. Um das gemeinsame Ziel von optimaler Sicherheit und Compliance von Cloud-Umgebungen zu erreichen, müssen Sicherheitsteams und DevOps-Teams bereits im Entwicklungsprozess zusammenarbeiten.

Dazu ist allerdings eine Abkehr vom bisherigen Fokus auf den Schutz von Infrastrukturen einhergehend mit einem Mentalitätswandel erforderlich, bei dem die Sicherheit von Workloads in den Mittelpunkt rückt. Für eine kontinuierliche Absicherung Cloud-basierter Anwendungen gilt es, deren Risiken und Schwachstellen bereits in der Entwicklungsphase zu berücksichtigen und beseitigen. Da Anwendungen in einer Vielzahl unterschiedlicher Cloud-Umgebungen entwickelt werden, muss zudem ein einheitliches Sicherheitsniveau gewährleistet sein, um die Komplexität für die IT-Teams gering zu halten.

Cloud Security-Funktionen verkomplizieren die Administration

Die Transformationsbestrebungen von Unternehmen führen häufig zu einem Flickenteppich von nicht integrierten Sicherheitskontrollen über verschiedene Cloud-Umgebungen hinweg. Cloud-Infrastrukturen und Produktivumgebungen werden traditionell mit einem Arsenal verschiedener Tools abgesichert wie Cloud Security Posture Management (CSPM), Cloud Infrastructure Entitlement Management (CIEM), Cloud Service Network Security (CSNS) oder Cloud Workload Protection Platform (CWPP). Eine solche Vielzahl an Tools kann die effektive Erkennung, Priorisierung und Behebung von Risiken behindern. Cybersicherheitsrisiken entstehen beispielsweise durch Transparenzlücken und tote Winkel in der Abdeckung von Sicherheitsmaßnahmen. Der Bezug von Daten aus unterschiedlichen Quellen anstelle eines einheitlichen Datenbestands in Form einer „Single Source of Truth“ trägt ebenfalls zu einer komplexeren Infrastruktur bei, die sich nur schwer administrieren lässt. Oftmals sorgen die verschiedenen Tools für eine Überflutung mit Warnmeldungen und sind ursächlich für einen hohen zeitlichen Aufwand bei der Datenstrukturierung. IT-Sicherheitsteams haben, ohne eine zuverlässige Methode zur Priorisierung dringender Probleme mit Mehraufwand zu kämpfen, der angesichts der Informationsdichte auch zu Alarmmüdigkeit führen kann. Zusammen mit dem Mangel an Ressourcen, technischem Fachwissen und fehlenden Schulungen für die einzelnen Tools ergibt sich für die modernen Cloud-nativen Anwendungen ein erhöhtes Risiko. Letztlich sorgt der hohe operative Aufwand durch die separate Verwaltung der einzelnen Tools zusätzlich für höhere IT-Betriebskosten.

CNAPP als Lösungsansatz

IT-Sicherheitsteams sollten sich deshalb mit einem Ansatz auseinandersetzen, der sie dabei unterstützt, die verschiedenen Security-Funktionen auf die Cloud-Welt zu übertragen, zu konsolidieren und soweit möglich zu automatisieren. Für ein effektives Risikomanagement ist eine zentrale Management-Plattform vonnöten, die einen transparenten Überblick über die gesamte Cloud-Infrastruktur ermöglicht und gleichzeitig für die Durchsetzung einheitlicher Sicherheitsregeln sorgt. Eine Cloud Native Application Protection Platform (CNAPP) bietet diese Funktionalität zusammen mit einem hohem Automatisierungsgrad. Der Ansatz kann als logische Erweiterung von DevSecOps für die Cloud betrachtet werden. Ähnlich wie bei DevSecOps, die IT-Sicherheit in den Mittelpunkt des Software-Entwicklungszyklus rückt, ist CNAPP auf die IT-Sicherheit von Cloud-basierten Anwendungsinfrastrukturen fokussiert. Dabei kommt Sicherheit nicht mehr nachträglich zum Einsatz, sondern wird bereits ab dem Prozess der Anwendungsentwicklung eingebaut. Die CNAPP-Funktionen erstrecken sich über alle Phasen des Lebenszyklus einer Cloud-basierten Anwendung, vom Code-Design über die Testphasen und Debugging, bis hin zur Bereitstellung in der Produktivumgebung inklusive nachfolgender Updates.

Mit CNAPP konsolidieren IT-Sicherheitsteams viele verschiedene Security-Funktionen in einem einzigen Framework. Durch einen solchen Plattformansatz lässt sich die Anzahl der Tools verringern und die Zeit reduzieren, die für die manuelle Korrelation von Alerts in verschiedenen Kontexten erforderlich ist. Somit ist effizienter bestimmbar, bei welchen dieser Warnungen es sich um tatsächliche Verstöße handelt oder solche, die zu Verstößen führen könnten und entsprechende Maßnahmen zur Behebung von Sicherheitsvorfällen einleiten. Dabei nutzt CNAPP umfassende Automatisierung, um nach gängigen Problemen, Schwachstellen und Fehlkonfigurationen in Cloud-Architekturen zu suchen. Entweder werden die IT-Sicherheitsteams über aufgefundene Problemfälle informiert oder automatisch deren Beseitigung eingeleitet. Das durchschnittliche Zeitfenster, in dem die Gefährdung für die Infrastruktur besteht, lässt sich dadurch erheblich senken. Automatisierte Scans dieser Art können sowohl die Entwicklungs- als auch die Betriebsseite des gesamten Lebenszyklus der Anwendungen umfassen.

Mithilfe von CNAPP lassen sich die folgenden Ziele umsetzen:

• Kombination des Funktionsumfangs von Einzellösungen wie CSPM-, CIEM- und CWPP-Tools in einem Plattformmodell mit einheitlicher Management-Oberfläche
• Korrelation von Schwachstellen, Kontext und Beziehungen im gesamten Entwicklungszyklus von Cloud-nativen Umgebungen
• Datengestützte Erkennung und Priorisierung von Risiken in der Anwendungsumgebung
• Automatische Maßnahmen zur Behebung von Schwachstellen und Fehlkonfigurationen in den Cloud-Umgebungen
• Verhindern nicht genehmigter Änderungen an der Architektur
• Einfache Integration mit SecOps-Ökosystemen zum Senden von Warnungen in nahezu Echtzeit

Fazit

Mit der Verschiebung von Anwendungen in die Cloud erhöht sich die Komplexität der Absicherung der gesamten IT-Umgebung. Eine Einführung verschiedenster Tools wie CSPM, CIEM oder CWPP löst diese Problematik jedoch nicht auf. Die Umstellung auf Cloud-native Technologien und zukunftsträchtige Entwicklungsansätze, wie Infrastructure as Code (IaC), CI/CD-Pipelines, Container-Umgebungen, serverlose Funktionen oder Kubernetes macht eine entsprechende Transformation der IT-Sicherheit erforderlich. CNAPP kann lückenlosen Schutz für sämtliche Cloud-Umgebungen bereitstellen und eine Konsolidierung und Automatisierung von Security-Funktionen herbeiführen.